Deloitte privacy team Privacy dienstverlening www.prepareforprivacy.nl
Voorwoord Privacy staat al enige tijd in de schijnwerpers en zal in de nabije toekomst alleen maar belangrijker worden. Niet alleen omdat de weten regelgeving omtrent privacy verscherpt wordt of omdat de boetes hoger worden maar vooral omdat privacy ook kansen biedt. Kansen voor organisaties die privacy goed ingeregeld hebben en zorgvuldig omgaan met de privacy van hun klanten én werknemers. Privacy as business enabler Het Deloitte privacy team kan hierbij de helpende hand bieden. Zo adviseren en assisteren wij verschillende organisaties met het inregelen van privacy zodat zij binnen de kaders van wet- en regelgeving gebruik kunnen maken persoonsgegevens. Privacy as business enabler noemen wij dit. Naast het implementeren van hele privacyprogramma s is het Deloitte privacy team ook in staat om te assisteren bij kleinere, kort lopende projecten zoals ad hoc privacy advies of het uitvoeren van een Privacy Gap Assessment. In deze vernieuwde brochure kunt u alle informatie vinden over het Deloitte privacy team, wat wij doen en waarmee wij u kunnen helpen. Annika Sponselee Head of Privacy Team 2015 Deloitte The Netherlands
Belang van privacy Snelle technologische ontwikkelingen hebben er de Het belang om zorgvuldig met persoonsgegevens om privacy en data protectie staat op dit moment dan bescherming persoonsgegevens op termijn gaan De geschetste om- afgelopen jaren voor gezorgd dat er steeds meer te gaan wordt vrijwel elke dag in het nieuws bevestigd. ook niet stil. Zo is in Nederland de Wet bescherming vervangen en introduceert naast rechtstreeks toepas- geving waar we ons mogelijkheden zijn om persoonsgegevens te ver- Organisaties ondervinden steeds vaker de negatieve persoonsgegevens recentelijk gewijzigd en zullen in de selijke regels voor de bescherming van persoonsge- in bevinden zorgt voor werken. Big Data, smartphones, cloud computing, gevolgen van de wijze waarop zij omgaan met per- nabije toekomst meer regels volgen, bijvoorbeeld op gevens in de Europese Unie ook substantiële boetes, onduidelijkheid en grote biometrics, EPDs en voordeelkaarten zijn slechts soonsgegevens van hun patiënten, werkne- het gebied van het verplicht melden van datalekken. die kunnen oplopen tot 5% van de wereldwijde uitdagingen voor alle enkele voorbeelden van de vele ontwikkelingen die mers, klanten, etc. Zo worden organisaties op het jaaromzet van een organisatie. organisaties. het beschermen van de privacy van betrokkenen een steeds grotere uitdaging maken. Daarnaast vinden verwerkingen van persoonsgegevens steeds vaker plaats op globaal in plaats van lokaal niveau, wat extra complicaties met zich meebrengt. Ten slotte neemt de aandacht voor privacy- (schen- matje geroepen door toezichthouders en ontstaat negatieve publiciteit omdat organisaties niet voldoende in staat blijken om te voldoen aan privacywetgeving. Boetes en reputatieschade zijn het gevolg. Dit laat nog onverlet dat organisaties door het gebrek aan juiste technische en organisatorische beveiligingsmaatrege- Ook ID-nummers, bankrekening nummers, locatie informatie en dergelijke zijn persoonsgegevens Deze aankomende veranderingen zijn indicatoren dat het voldoen aan privacy wet- en regelgeving belangrijker dan ooit is geworden. Toezichthouders worden steeds beter uitgerust om adequaat in te grijpen bij privacy schendingen en de roep om meer transparantie Uitdagingen waar het Deloitte privacy team dagelijks mee te maken krijgt bij klanten in zowel de publieke als private sector. Middels dingen) alleen maar toe en daarmee ook de risico s len op regelmatige basis het slachtoffer worden van over de gegevensverwerking wordt steeds luider. deze brochure willen voor reputatieschade. datalekken en hacks. wij laten zien dat wij u Vanuit Europa dienen zich ook grote veranderingen kunnen helpen om aan Identiteitsdiefstal en het uitlekken van medische aan. De Europese Commissie heeft een ontwerpver- deze uitdagingen en of financiële gegevens zijn een steeds toenemend ordening voor de verwerking van persoons- onzekerheid het hoofd maatschappelijk probleem. De wetgeving omtrent gegevens gepubliceerd. Dit concept zal de Wet te bieden.
Uitdagingen & Kansen Uitdagingen Organisaties moeten weten waar, en op welke manier, persoonsgegevens worden verwerkt. Het is noodzakelijk dat alle verwerkingen met persoonsgegevens binnen alle gelederen van de organisatie geanalyseerd worden om de toepasselijke privacyvereisten in kaart te brengen en om passende beschermingsmaatregelen te kunnen nemen. Dit is een uitdagende en complexe taak, vooral omdat deze verwerkingen vaak niet binnen de landsgrenzen blijven. Wanneer duidelijk is welke persoonsgegevens worden verwerkt, is het zaak om de juiste stappen te zetten richting privacy compliance. Nog te vaak verzaken organisaties om bijvoorbeeld de juiste juridische overeenkomsten te sluiten, transparant te zijn naar betrokkenen, toezichthouders en ondernemingsraden te betrekken, passende beveiligingsmaatregelen te nemen, de juiste beleidsregelingen op te stellen, etc. Ook dient een organisatie te zijn voorbereid op Door de privacy van uw werknemers, patiënten en klanten hoog in het vaandel te hebben onderscheidt u zich van uw concurrenten. Privacy as business enabler in het vaandel te hebben onderscheidt u zich van uw concurrenten. Privacy as business enabler, noemen wij dat. Ook dient er al bij het ontwikkelen van nieuwe systemen te worden gedacht aan de bescherming van persoonsgegevens. Door dit direct in te bouwen (privacy-by-design) is de kans op het succes het grootst en kost het de minste tijd, moeite en geld. Daarnaast dient privacy compliance een wijze van bedrijfsvoering Het is een uitdagende klus om ervoor te zorgen dat uw organisatie voldoet aan wet- en regelgeving. Dit terwijl u zich het liefst focust op datgene waar u goed in bent: uw core business. Grote hoeveelheden persoonsgegevens kunnen dataverlies dat kan leiden tot openbaarmaking van te worden met als gevolg dat er een vanzelfsprekend- op een intelligente wijze persoonsgegevens. Belangrijk is om goed op dit soort situaties voorbereid te zijn, het kan immers de best Kansen voor uw organisatie heid komt in de manier van handelen en uitvoeren in overeenstemming met de juridische vereisten. worden geanalyseerd en de impact op de privacy beveiligde organisaties gebeuren. Het onzorgvuldig Privacy richt zich niet alleen op het mitigeren van van individuen, zoals omgaan met de privacy van betrokkenen en/of het risico s, maar ook op de positieve impuls voor het imago werknemers, klanten en hebben van dataverlies kan leiden tot significante van een organisatie door het serieus nemen van de patiënten, is groter is reputatieschade, met daarbij ook mogelijke juridische privacy behoefte van klanten en werknemers. Door de dan ooit. sancties, onderzoeken en audits als gevolg. privacy van o.a. werknemers, patiënten en klanten hoog
Zienswijze van Deloitte Hoe Deloitte organisaties helpt Privacy is meer dan alleen privacy wet- en regelgeving. Het omvat technische, organisatorische en risicoaspecten. Implementeer Privacy-by-Design Neem privacy (en security) mee in het begin stadia van het project. Het Privacy team van Deloitte heeft ruime ervaring in het ondersteunen van organisaties bij privacy gerelateerde uitdagingen en in het benutten van de Programma Graag helpen wij organisaties bij het implementeren van privacy door de gehele organisatie.bij een programma kan worden meegedacht met de strategie tot aan werkinstruc- Wees transparant. Welke klantgegevens heeft u? Privacy wetgeving in Europa wordt momenteel vernieuwd. Een nieuwe algemene verordening gegevens- onderscheidende kansen die privacy biedt. ties. Zo helpen wij organisaties van de boardroom tot aan de serverruimte. Hoe gebruikt u de persoonsgegevens? Op welke manier hebben klanten controle? Bied de klanten een echte keuze. bescherming zal naar verwachting in 2015 in werking treden. Onze kracht zit in de multidisciplinaire samenstelling van het team. Zo hebben wij ruime kennis en ervaring in het beantwoorden van complexe juridische Privacy Impact Assessment Met een Privacy Impact Assessment wordt uw bedrijfsvoering met betrekkingtot privacy onder de loep Voordelen: vraagstukken, in het oplossen van de meest ingewik- genomen en beoordeeldwaarde grootste risico s zitten. Privacy = Reputation Management. Ernstig risico op negatieve publiciteit, maar ook de mogelijkheid voor een unique selling point. Verordening in plaats van richtlijn, privacyregels zullen in heel Europa hetzelfde zijn; Minder administratieve handelingen; kelde technische problemen maar ook de benodigde expertise omtrent de invulling van een privacy organisatie. Wij spreken zowel juridische taal als de taal van Technische vraagstukken Advies geven over (technische) security vraagstukken die voor organisaties van belang zijn. Klanten zijn zich bewust van de waarde van hun persoonsgegevens. Geef daarom een helder inzicht in de waarde van hun gegevens: Wat kopen de klanten hiervoor en hoe kunnen klanten profiteren? Bepaal wat de strategische visie is op hoe de organisatie zich presenteert aan de buitenwereld met betrekking tot de omgang met persoonsgegevens. Profilling toegestaan voor gepseudonimiseerde gegevens. Risico s: Hogere boetes tot 5% van de wereldwijde omzet; Verplicht melden van datalekken; Verplichte Privacy Officer; Verplichte Privacy Impact Assessments. Informatietechnologie en zijn in staat om deze kennis efficiënt en begrijpelijk naar uw bedrijfsvoering te vertalen. Zo kunnen wij u helpen om privacy te integreren in uw organisatie van de boardroom tot de serverruimte. Privacy Insight Tool Een nieuwe dienst van Deloitte waarmee het voor organisaties mogelijk wordt om via een overzichtelijk Dashboard inzicht te krijgen in de verwerkingen die plaats vinden in de organisatie. Privacy GAP Assessment Geregeld voeren wij GAP Assessments uit bij verschillende organisaties. Met behulp van een dergelijk assessment wordt op een eenvoudige manier inzicht gegeven van de stand van zaken op vooraf bepaalde onderwerpen.
Contact Neem voor meer informatie contact met ons op via mr. Annika Sponselee Head of Privacy Team +31 (0)6 1099 9302 asponselee@deloitte.nl 2015 Deloitte The Netherlands
De naam Deloitte verwijst naar één of meer van de volgende rechtspersonen: Deloitte Touche Tohmatsu Limited, een in Groot-Brittannië gevestigde private company limited by guarantee, en ieder van de member firms die deel uitmaken van haar netwerk. Elk van deze rechtspersonen vormt een juridisch afzonderlijke en onafhankelijke entiteit. Zie www.deloitte.com/about voor een gedetailleerde beschrijving van de rechtsvorm van Deloitte Touche Tohmatsu Limited en haar member firms. Deloitte is met ongeveer 5.000 medewerkers en kantoren in heel Nederland de grootste organisatie op het gebied van accountancy, belastingadvies, consultancy en financiële advisering. Deloitte Nederland is een onafhankelijke member firm van Deloitte Touche Tohmatsu Limited, met 165.000 medewerkers en vestigingen in meer dan 140 landen. De medewerkers van Deloitte zijn verbonden in een samenwerkingscultuur waarin integriteit, uitmuntende waarde voor markten en cliënten, betrokkenheid bij elkaar en kracht door culturele diversiteit worden aangemoedigd. Hierin staan permanente educatie, uitdagende ervaringen en verrijkende carrièremogelijkheden centraal. De medewerkers van Deloitte zetten zich met volle overtuiging in om maatschappelijk verantwoord ondernemen te versterken, publiek vertrouwen op te bouwen en hun gemeenschappen positief te beïnvloeden. 2015 Deloitte, Member of Deloitte Touche Tohmatsu